2020/08/31(月)週添付ファイル付不審メール（Emotet -> ZLoader）の調査

日本国内で大流行のEmotetについて、感染時のフローをまとめました。

※取得してから記事にするのに時間が空いてしまったため、画像で感染の流れのポイントがわかれば、という程度です。

以前にEmotetのプロセスの動きを記載していたのは約一年前の以下の記事でした。Emotetの動き自体に大きな差は有りません。

2019/09/27（金）添付ファイル付不審メール（Emotet -> Ursnif）の調査 - bomb_log

感染経路は不審メールです。
以下はEmotetの日本語メールの中の1つの例、協力会社各位系と呼んでいるメールのテンプレートです。

f:id:bomccss:20200913000021j:plain

協力会社各位

　お世話になっております。

標記の件、20_09_01に皆様にお送りしたご案内に修正事項がございます。
以下に要点を記載いたしますのご確認の程お願いいたします。

お心当たりがある業者様は取り急ぎご連絡いただきますようお願いいたします。
　今後の手続きについてご案内いたします。

この度は当方の不手際でご迷惑をお掛けし、大変申し訳ございません。

添付されているファイルはEmotetをダウンロードするマルウェアです。今回は以下を使用しました。

https://app.any.run/tasks/8466ae86-0314-4928-aea4-e150e52b1f47/

添付ファイルを開くと以下のような見た目。（他にも様々な外見がある）

f:id:bomccss:20200912234732p:plain

マクロを有効化すると、Word.exe ..->.. WmiPrvSE.exe -> powershell.exe -> conhost.exe でpowershellが実行され、Emotet本体を取得する。

f:id:bomccss:20200912234812p:plain

PowerShellは以下のようにBase64で暗号化されている。

f:id:bomccss:20200912235017p:plain

Emotet本体が取得され実行されると自己をコピーし以下に配置する
※Local配下は同じだが、フォルダ名、ファイル名は感染毎に異なる。

f:id:bomccss:20200912235212p:plain

Emotet （exe）のC2への通信が確立すると永続化としてRunキーが設定される

f:id:bomccss:20200912235423p:plain

C2への通信は以下のようにホストはIP直であり、ランダムな（存在しない）パスへPOSTを行う。

f:id:bomccss:20201024212056p:plain

f:id:bomccss:20201024212133p:plain

f:id:bomccss:20201024212117p:plain

次に、ZLoaderの感染についてです。
（今回はEmotetから降ってこなかったため、取得された方から連携されたもので実施しています）

sample
https://app.any.run/tasks/d6bd9e08-8a0d-4ad2-a5a7-049446d173a9/

ZLoaderが実行されると、msiexec.exeを実行しそこにインジェクションします。

f:id:bomccss:20201024222808p:plain

ZLoaderはC:\Users\(UserName)\AppData\Roaming\配下にランダムな名前のフォルダを作成し、そこに自身のコピーやその他モジュールを格納します。
f:id:bomccss:20201024223956p:plain

動作すると感染の痕跡として、以下のようなレジストリキーを登録します。
toxm\ugbaは固定、Fuum\ubapaはランダムです。値はランダムです。

Registry Activity:
==================
[RegCreateKey] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum
[RegCreateKey] msiexec.exe:3900 > HKCU\Software\Microsoft\toxm
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\toxm\ugba = FE 55 FB 40 CD 93 22 B9 55 81 1C E7 B8 DB DD AC
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = F1 7C A9 AA 7F 1D 21 CC 48 67 90 F6 33 EE 93 1C
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = C7 67 C7 DD B4 56 BF 77 17 44 17 8C 5C 16 D8 EF
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = 2A B6 31 2A 7E 08 B0 88 F5 79 1E 72 10 76 BB CA

永続化はHKCU\Software\Microsoft\Windows\CurrentVersion\Runキーにセットされます。

通信はC2に対してPOSTします。C2との通信が成立しないと、別のC2へと順次通信していきます。
f:id:bomccss:20201024223932p:plain

ZloaderのConfigです。CapeSandboxを使って取得しています。
https://www.capesandbox.com/analysis/79247/
Type: Zloader Config
Botnet name: SG
Campaign ID: SG
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
C2address
hxxp://rrleuleuetijabsnqsgn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://tvlmfacgscbjlndewpxn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://yvibvuyolrfeegaophef[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]in/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]info/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]org/LKhwojehDgwegSDG/gateJKjdsh.php

以上